Quando a nova lei brasileira de dados não protege as suas informações?

Com a sanção da Lei nº 13.709/2018, a LGPD (Lei Geral de Proteção de Dados), o Brasil passou a contar desde a terça-feira (14) com uma legislação específica sobre o tratamento de dados pessoais da população. A lei versa sobre todas as condições em que nossos dados serão usados por governos e empresas quando passar a vigorar, daqui a 18 meses.

Para o cidadão comum, a coisa mais importante da LGPD é que na imensa maioria das situações, toda empresa ou governo deverá obter ou tratar os dados com o consentimento de seu respectivo titular.

VEJA TAMBÉM:

• Proteção de dados pessoais se torna lei no Brasil com veto a "xerife"
• Site vende nossos dados, e Google e Microsoft se negam a derrubar
• Sua Smart TV pode rastrear o que você assiste e ganhar com publicidade

Em bom português, se por exemplo o Facebook ou o Google quiserem repassar seu nome e endereço de email para alguma empresa que fabrica geladeiras, e esta vai te encher de mensagens de propaganda, isso só poderá acontecer se você tiver autorizado. Do contrário, as empresas envolvidas serão advertidas ou multadas.

Mas, em situações específicas, empresas e governo poderão recolher e tratar dados sem o seu consentimento.   

Que tipos de dados são esses?

Antes de mais nada, a nova lei estabelece três categorias de dados:

• o dado pessoal comum, relacionados diretamente à pessoa como, por exemplo, nome, endereço, idade e estado civil;
• o sensível, referente a raça, religião, saúde e até genética ou biometria (como as impressões digitais e reconhecimento facial);
• e o anonimizado, no qual são usados "meios técnicos razoáveis" para se criar perfis de usuários, mas sem identificá-los pessoalmente. Assim, seus dados alimentam bancos de dados, mas ninguém ficaria sabendo que são seus.

Quando o consentimento é dispensado?

Essas são as situações em que dados pessoais comuns e também sensíveis poderão ser tratados sem que você autorize:

• Para precisar cumprir obrigação legal ou regulatória; por exemplo, via decisão da Justiça ou da Anatel (Agência Nacional de Telecomunicações);
• Para que órgãos possam executar políticas públicas, como por exemplo campanhas de vacinação;
• Para viabilizar estudos e pesquisas, mas garantindo, sempre que possível, a anonimização (não identificação) dos dados;
• Para fazer valer direitos em contratos e processos judiciais, administrativos e arbitrais. Por exemplo, se um juiz exigir detalhes sobre as dívidas atreladas ao CPF da pessoa ao julgar uma ação;  
• Para proteção da vida ou da integridade física da pessoa ou de terceiro. Por exemplo, se expor o endereço de alguém não vai também expor essa pessoa a uma possível tentativa de assassinato;
• Para tutela da saúde, realizada por profissionais do meio ou por entidades sanitárias. Exemplo: a Vigilância Sanitária precisar obter seu endereço para garantir que sua casa não é foco de dengue;

Ainda há estas formas apenas para dados comuns:

• Para atender aos "interesses legítimos" da empresa, desde que não burlem direitos da pessoa. Assim, uma empresa pode obter seus dados comuns --nome, telefone, etc.-- também se você for parte em ações judiciais.
• Para proteção do crédito também. Assim, órgãos de proteção ao crédito como Serasa e SPC podem sim tratar seus dados se seguirem a legislação.

E mais esta apenas para dados sensíveis:

• Para garantir prevenção à fraude e à segurança da pessoa, ao identificar e autenticar cadastros de pessoas em sistemas eletrônicos. Exemplo: se o banco precisar cruzar seu número de cartão de crédito com CPF para saber se houve compra indevida no cartão.

Mas neste último item, é preciso o consentimento do titular em situações que ferirem direitos e liberdades da pessoa.

Em que situações a lei de dados se aplica? 

O artigo 3º da LGPD diz que ela protegerá dados quando:

• O dado for tratado por pessoa física ou jurídica pública (governo) ou privada (empresa) do Brasil; 
• Foram coletados e realizados em território brasileiro;
• Se houver a finalidade de fornecer bens ou serviços para as pessoas.

Isso vale independentemente do método usado para tratar os dados (internet, papel, etc) e do país onde estejam armazenados os dados.

Vale lembrar que a GDPR, em vigor desde maio na Europa, exige que qualquer companhia de fora da União Europeia que queira tratar informações de europeus precisa se adaptar à nova legislação. A nova LGPD brasileira não traz uma exigência específica como esta. Apenas que, para ser aplicada, o dado precisa ser sido coletado ou tratado no nosso território.

Em que situações a lei de dados não se aplica? 

O artigo seguinte, o 4º, já diz que a LGPD não se aplica aos dados das seguintes situações exclusivas:

• Particulares e não econômicos (por exemplo, quando você pede o número de telefone de um amigo);
• Jornalísticos, artísticos, ou acadêmicos. Assim, um jornal, uma pintura ou um trabalho de universidade pode ter seu nome ou rosto;
• De segurança pública, defesa nacional, segurança do Estado ou investigação e repressão de infrações penais
• Vindos de fora do território nacional. Mas aqui há exceções: quando o dado em questão:

1. É objeto de comunicação (citado em uma ligação DDI com um brasileiro, por exemplo); 
2. Está em uso compartilhado com agentes de tratamento (empresas ou governos) brasileiros, 
3. Ou é usado em transferência internacional de dados com outro país, desde que o país estrangeiro tenha uma legislação de proteção de dados similar à nossa --talvez a GDPR se aplique aqui.

Crianças são um caso à parte

O artigo 14 fala só em tratamento de dados pessoais de crianças e de adolescentes. Neste caso, deverá ser realizado com o consentimento não do menor, mas de pelo menos um dos pais ou pelo responsável legal.

Poderão ser coletados dados de crianças sem o consentimento dos tutores quando a coleta for necessária para contatar os pais ou o responsável legal --e neste caso, deverão ser usados uma única vez e sem armazenamento-- ou para proteção da criança. E em nenhum caso poderão ser repassados a terceiro sem o consentimento dos tutores.

Escolas, por exemplo, podem tentar descobrir os telefones dos tios de um aluno, caso este esteja passando mal na sala de aula e os pais não foram encontrados.

Saúde

Para a realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, mas que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização dos estudos em questão e mantidos em ambiente controlado e seguro, sob práticas de segurança previstas em regulamento específico.

A LGPD pede, sempre que possível, a anonimização ou pseudonimização dos dados, e que considerem os devidos padrões éticos relacionados a estudos e pesquisas.

Fora estes casos, quando você for a um consultório ou hospital, estes sim vão ter que pedir autorização e perguntar seus dados a você.